FRAMEWORK · ENS

ENS — Spanisches Nationales Sicherheitsschema.
RD 311/2022. Drei Kategorien abgedeckt.

Verpflichtend für die spanische öffentliche Verwaltung und kritische Anbieter. Itamite deckt die Familien mp.eq (Geräteschutz), op.exp (Betrieb), mp.com (Kommunikation) in den Kategorien Basic, Medium und High ab. Signierter Bericht für CCN-CERT und Zertifizierungsstelle.

Preise ansehen ENS-Demo

Wer unterliegt ENS

ENS gilt für: Spanische Generalstaatsverwaltung, Autonome Gemeinschaften, Lokale Einheiten, öffentliche Einrichtungen und Einrichtungen des öffentlichen Rechts. Anbieter der öffentlichen Verwaltung, die Dienste erbringen oder Informationen des öffentlichen Sektors verwalten (die meiste Unternehmens-IT). Regulierter Privatsektor in Sektoren, in denen eine andere Norm auf ENS verweist (z.B. NIS2 kann ENS für spanische Einheiten heranziehen).

Die Kategorie wird durch eine Auswirkungsanalyse auf den Dimensionen C-I-D-A-T (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Rückverfolgbarkeit) bestimmt: Basic (geringe Auswirkung in allen), Medium (mittlere Auswirkung in einigen), High (hohe Auswirkung in einigen).

KONTROLLFAMILIEN

Was Itamite aus ENS Anhang II abdeckt

mp.eq — Geräteschutz

mp.eq.1 Aufgeräumter Arbeitsplatz. mp.eq.2 Sperrung des Arbeitsplatzes (Bildschirmsperre). mp.eq.3 Schutz tragbarer Geräte (Verschlüsselung). mp.eq.4 Andere mit dem Netzwerk verbundene Geräte.

op.exp — Betrieb

op.exp.1 Asset-Inventar. op.exp.2 Sicherheitskonfiguration. op.exp.3 Konfigurationsmanagement. op.exp.4 Wartung (Patches). op.exp.5 Änderungsmanagement. op.exp.6 Schutz vor Schadcode (AV). op.exp.7 Vorfallmanagement. op.exp.8-11 Protokollierung und Schutz.

mp.com — Kommunikationsschutz

mp.com.1 Sicherer Perimeter (Firewall). mp.com.2 Vertraulichkeitsschutz (Transit-Verschlüsselung). mp.com.3 Authentizitäts-/Integritätsschutz. mp.com.4 Netzwerksegregation.

op.acc — Zugangskontrolle

op.acc.1 Identifikation. op.acc.2 Zugangsanforderungen. op.acc.3 Funktionstrennung. op.acc.5 Authentifizierungsmechanismus. op.acc.6 Lokaler Zugang. op.acc.7 Fernzugang.

op.mon — Systemüberwachung

op.mon.1 Intrusion Detection (mit EDR-Integration). op.mon.2 Metriksystem (gemessene Sicherheitslage). op.mon.3 Überwachung (kontinuierliche Alerts).

mp.s — Dienstschutz

mp.s.1 Schutz vor Denial of Service. mp.s.2 Serverschutz. mp.s.8 Schutz veröffentlichter Informationen.

ZERTIFIZIERUNGSPROZESS

Wie man ENS-Konformität erlangt

01

Systemkategorisierung

C-I-D-A-T-Auswirkungsanalyse → Sie bestimmen die Kategorie (Basic/Medium/High). Itamite hilft mit Inventardaten, aber die formale Kategorisierung wird von Ihrem CISO oder Berater vorgenommen.

02

Risikoanalyse

MAGERIT-v3-Methodik (Standard der spanischen öffentlichen Verwaltung) oder ISO 27005. Itamite liefert vollständiges Inventar und Posture-Daten als Input. Die Methodik wird von Ihrem Team oder Berater geleitet.

03

Maßnahmenumsetzung

Sie wenden Anhang-II-Kontrollen entsprechend Ihrer Kategorie an. Itamite deckt die technischen Maßnahmen von mp.eq, op.exp, mp.com automatisch ab. Organisatorische Maßnahmen (Richtlinien, Schulung, Lieferantenmanagement) sind manuelle Arbeit.

04

Konformitätsaudit

Für Kategorie Medium oder High: verpflichtendes Audit durch akkreditierte Stelle (zweijährliche Erneuerung). Der Itamite-Bericht ist der technische Nachweis, den Sie dem Auditor für die abgedeckten Kontrollen vorlegen. Für Basic: Konformitätserklärung, unterzeichnet vom Verantwortlichen.

05

Auszeichnung und Registrierung

Nach Konformität: Sie erhalten die entsprechende ENS-Auszeichnung und werden bei CCN-CERT registriert. Erneuerung alle 2 Jahre mit vollständigem Audit. Kontinuierliche Wartung mit jährlichen Überprüfungen.

HÄUFIGE FRAGEN

Übliche Fragen zu ENS

Ist mein privates Unternehmen verpflichtet, ENS einzuhalten?
Wenn Sie Dienste an die spanische öffentliche Verwaltung erbringen, die Zugang zu deren Systemen oder Informationen implizieren, ja. Die Verwaltung muss es im Vertrag verlangen. Wenn Ihr Sektor in NIS2 mit einer Referenz zu ENS ist, ebenfalls. Für den reinen Privatsektor ist ENS freiwillig, bietet aber Wettbewerbsvorteile in öffentlichen Ausschreibungen.
Welche Kategorie sollte ich zertifizieren?
Bestimmt durch die Auswirkungsanalyse Ihres Systems. Für typische lokale öffentliche Verwaltung mit nicht-klassifizierten Daten: Basic. Für autonome oder staatliche öffentliche Verwaltung mit sensiblen personenbezogenen Daten: Medium. Für kritische Infrastruktur, Verteidigung, regionales Gesundheitswesen: High. Ihr Datenschutzbeauftragter oder Berater orientiert Sie.
Ist Itrion Software ENS-zertifiziert?
Ja, Kategorie Medium zertifiziert (europäisches Hosting IONOS ist ebenfalls in ENS High). Arbeit an interner Kategorie High. Konformitätsdokumentation auf Anfrage für Kunden der öffentlichen Verwaltung verfügbar.
Wie lange dauert es, ENS-Medium-Konformität mit Itamite zu erlangen?
Typische Gesamtzeit: 3-6 Monate. Der technische Teil (Itamite-Maßnahmen) ist in 4-6 Wochen nach Rollout des Agenten bereit. Der organisatorische Teil (Richtlinien, MAGERIT-Risikoanalyse, Anpassungsplan) und das Audit durch akkreditierte Stelle nehmen die restliche Zeit in Anspruch.
Welche Stellen akkreditieren ENS?
ENAC führt die offizielle Liste: AENOR, Bureau Veritas, DNV, SGS, TÜV, LEET Security, Audisec, BDO, unter anderen. Holen Sie Angebote von mehreren ein, um zu vergleichen. Typische Kosten Erstaudit: 8.000-15.000 € + 4.000-7.000 € zweijährliche Erneuerung.

Öffentliche Verwaltung oder kritischer Anbieter, der ENS benötigt?

Demo orientiert an Ihrer Kategorie mit einem realen Fall der öffentlichen Verwaltung. Wir zeigen Ihnen den Anpassungsplan.

Preise ansehen ENS-Demo anfordern